エンタープライズ:ニュース 2003/08/21 18:21:00 更新


まだそこにある危機

Windows RPCのセキュリティホールを狙ったワームによるトラフィックは、依然として通常よりも高い水準で推移している。

 情報処理振興事業協会セキュリティセンター(IPA/ISEC)がまとめた情報によると、MSBlastに関する相談・届出件数やTCP 135番ポート宛てのトラフィック数は、引き続き通常よりも高い水準にあるものの、ピークは越えた模様だ。

 だが入れ替わるようにして、8月18日に登場した新ワーム「Nachi」(「Welchia」や「MSBlast.D」とも呼ばれている)が活発に活動している。同ワームが吐き出すICMP Echoリクエストのトラフィックは依然として多い。ラックのJSOC(Japan Security Operation Center)によると、これと並行して、HTTPに用いられるTCP 80番ポートへのスキャンも増加の傾向にあるという。

 一連の動向を踏まえ、経済産業省や総務省、それにマイクロソフトをはじめとする各社は、今後も予断を許さない状況にあるとしている。Windows RPCインタフェースの脆弱性(MS03-026)を悪用したワームには、いまだに相当数のユーザーが感染しているうえ、さらなる亜種が登場する可能性も十分残っているからだ。

悪質な「Nachi」ワーム

 8月20日にマイクロソフトが開催した説明会の席では、ラックでJSOC事業本部本部長を務める西本逸郎氏が「Nachiは、MSBlastよりもはるかに悪質なワームである」という見方を示した。

 それにはいくつか理由がある。まず、MSBlastに感染するとPCが再起動を繰り返すといった不審な挙動が見られるのに対し、Nachiではそういった症状は発生しない。このためユーザーが感染に気付きにくくなるおそれがある。もしかすると、一連のワームのことを知らずに「しばらくマシンが不安定だったけれど、いつの間にか直ったようだ」などと喜んでいるユーザーがいるかもしれないが、実際にはMS03-026の脆弱性を突かれ、MSBlastとNachiに相次いで感染してしまった可能性が高い。このように症状が表面に現れないまま、長期にわたって潜伏、感染し続けるワームとなる可能性も高いという。

 またNachiは、自分の近くにあるIPアドレスに対して活発にICMPパケットを投げつける。感染したPCがLAN内に持ち込まれた結果、ネットワークの輻輳を引き起こし、通常のシステム利用に支障を来たしたというケースも報告されている。

 もう1つの理由は、Nachiが自身の感染に用いるバックドアの存在だ。Nachiは666番から765番までの中からランダムに1つのポートを選んでバックドア(リモートシェル)を作り、それを用いて感染するのだが、このバックドアは閉じられることなくそのまま放置されているという。このため、別の目的を持ったユーザーにこのバックドアを操作されてしまうおそれがある。

 こうした事柄を踏まえると、Nachiは、パッチのダウンロードを試みるといった「美名を掲げているとしても、はるかに悪質なワーム。こうしたやり方は許してはいけない」(西本氏)。Nachiをベースに、明確な意図(悪意)を持ったワームが登場することも予想されるという。

 また、インターネット セキュリティ システムズIT企画室室長の高橋正和氏は、Nachiがダウンロードを試みるパッチには日本語版が含まれておらず、結果として日本語版WindowsではMS03-026の脆弱性が残されたままになることを踏まえ、今後、この脆弱性に対する攻撃が行われた場合、日本でのみ特に大きな被害が生じる可能性がある、と指摘している。

 Nachiによる一連の被害を止めるには、ワーム本体を駆除し、さらにMS03-026やMS03-007を含むパッチをすべて適用するしかない。IPA/ISECでは、各ベンダーが提供するワーム駆除ツールへのポインタを示すほか、Windows XPにおける復旧手順をまとめたドキュメントを公開している。またマイクロソフトのパートナー各社が、今週末をめどに、緊急対策用のCD-ROMを配布する計画だ(別記事参照)。

 西本氏はまた、企業システムにおける対処策として、複数のファイアウォールを用いて各部署を隔離し、それぞれを監視・管理することで、被害を最小限にとどめることができると指摘した。

 「パッチの適用による『予防』と、ウイルス対策ソフトに代表される侵入を防ぐための『防御』という2つの対策に加え、早期に問題を発見し早く直すことが重要。セキュリティ対策においては、この3つの施策をバランスよく取っていかなければならない」(西本氏)。その上で、これらを実現するのが困難な個人ユーザーには、ISPなどと連携したセキュリティサービスを展開することも必要だろうと述べている。

脆弱性を狙うワームが増える?

 電子メールの添付ファイルとして届き、ユーザーがクリックすることで感染を広めるタイプのウイルスは、かつても今も蔓延している。しかしCode RedやNimda以降、やや異なる毛色のワームも増えてきた。OSやアプリケーションのセキュリティホールを悪用するハッキング手法を織り込んだワームがそれで、MSBlastやNachiも、その中に分類できるだろう。

 トレンドマイクロアンチウイルスセンター、ウイルスエキスパートの岡本勝之氏は、「今後、セキュリティホールを狙い、ユーザーがそれと気付かないうちに感染してしまうウイルスの攻撃が増えるのではないか」と述べ、こうした新しいタイプのネットワークウイルスへの懸念を示した。

 無論、こうしたウイルスが蔓延するには、何らかのセキュリティホールが存在することが前提となる。したがってベンダー側が、できる限りセキュリティホールを作らないよう注力するのはもちろんだ。だが同時に、「ユーザー側も、いっそうセキュリティホールに敏感になっていかないと、気付いたときにはウイルスに感染してしまっているという事態も考えられる」(同氏)。

 おりしも8月21日には、Internet Explorerに影響する深刻な脆弱性が公開された(別記事参照)。このセキュリティホールがまた新しいウイルスや攻撃の糸口になる可能性は十分考えられる。Blasterのような騒ぎを経験したくないのであれば、速やかにパッチを適用すべきだ。今後発見されるであろう新たなセキュリティホールについても同じことが言える。

見逃しがちな「組み込みOS」

 もう1つ、これまであまり触れられてこなかった危険がある。サーバやクライアントとして使われるOSではなく、アプライアンスや組み込み機器に用いられているOSに残された脆弱性だ。

 例えばマイクロソフトでは、NASアプライアンスサーバ専用のOSとして「Microsoft Windows Powered NAS」を提供。また情報家電や組み込み機器向けには「Windows XP Embedded」や「Windows NT Embedded」を提供済みだ。ベースとなるOSが共通である以上、こうしたアプライアンスや組み込み機器にも、同様の脆弱性が存在する可能性は非常に高い。事実、MS03-026の脆弱性をチェックするツールで社内システムを検査したところ、こうした機器が「脆弱性が残っている」として検出されるケースもあるという。

 実際に脆弱性を悪用するコードが有効に動作するかどうかは、アプライアンスや各機器のアーキテクチャにも左右される。しかし少なくとも、マイクロソフトによると、これら組み込み機器でも「一部が異常終了または再起動することがある」といい、専用のパッチが公開されている。

 いわゆるサーバやPCに比べると、これらアプライアンスや組み込み機器におけるセキュリティ問題は、情報が少ないうえに、ユーザーがそのOSを用いていることを知らず、問題そのものを認識していないことも多い。この部分を改善すべく、今後の情報提供体制および対処策の拡充に期待したい。

関連記事
▼特集:Windowsを危険にさらすRPCのセキュリティホール

関連リンク
▼経済産業省:新種Welchi(ウェルチ)ワームの潜在的感染者に関する注意喚起について
▼IPA/ISEC」:「W32/MSBlaster」ワームに関する情報
▼IPA/ISEC:新種「W32/Welchi」ワームに関する情報
▼マイクロソフト:Blasterに関する情報

[高橋睦美,ITmedia]



Special

- PR -

Special

- PR -